Támadható a Gmail belépés

2008. október 14. 07:31 - Csizmazia Darab István [Rambo]

Egy frissiben megjelent cikk azt mutatja be, hogy egy etikus hacker szerint lehetséges anonim módon megszerezni Gmailes accountunkat.

Adrian Pastor (GNU Citizen) közre is adta azt a kísérleti kódot, mellyel egy úgynevezett Frame Injection Flow segítségével az eredeti webcím helyett egy manipuláltat tud elhelyezni a targeturl mezőben egy biztonsági hibának köszönhetően. Idén áprilisban már volt egy hasonló lehetőségről szó Aviv Raff részéről, az akkori lehetőség a "cross-domain web-application sharing security design flaw" nevet kapta a keresztségben. Ez a mostani erre is rátesz egy lapáttal, és egy harmadik félhez tartozó trükkös weboldallal - amely legitim címet mutat az address sorban, esetünkben ez most a mail.google.com - a támadó kényelmesen megszerzi az információt mindenféles XSS manipuláció vagy a szerverbe való behatolás nélkül.

Sokan vannak, akik teljes levelezésüket a Gmaillel valósítják meg, sőt cégek nagy számban is átálltak kényelmi okokból. Remélhetőleg a prezentáció volt olyan érdemi a Google számára is, hogy Guiness Rekordok Évkönyvébe illő sebességgel javít és kiküszöböl, mielőtt a trükkös csalók tömegesen hamis belépőoldalakat állítanak fel.

Mi meg addig is felírhatjuk százszor a táblára: Nincsenek biztonságos weblapok, Nincsenek biztonságos weblapok, Nincsenek ...

11 komment

Kara kán · http://karakan.blog.hu 2008.10.14. 13:42:42

Én azt nem értem, hogy a Microfos, amely webböngészőtől elkezdve minden beépített már az oprendszerébe, miért nem tesz bele rendes vírusirtót és tűzfalat is?

Különben a Gmail még mindig biztonságosabb, mint a saját pécéről futó levelezőprogi.

szilárdan... · http://www.flickr.com/photos/haazee 2008.10.14. 13:57:46

Egyébként nem teljesen értem ezt a támadhatóságot...
Ha be akarok lépni a gmail-re, akkor beírom az URL-t (www.gmail.com) vagy rábökök a könyvjelzőmre.
Ezt tudják "meghekkelni"? Egyéb helyről meg ugye az ember nem mászik rá a levelezőrendszerére...

szilárdan... · http://www.flickr.com/photos/haazee 2008.10.14. 17:29:43

fraki: ha a postaládámra vagyok kíváncsi, akkor nem klikkelgetek ide-oda, hanem fix, biztonságos helyről veszem az URL-t.
Ha meg rákattintok egy linkre, majd válaszként kapok egy gmail login képernyőt... hát erősen elgondolkodom rajta, hogy a feladót hová küldjem... (ismeretlen címről érkező mélt el sem olvasok)

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2008.10.14. 12:56:41

hát előbb szerzi meg az átlag user adatait a hi5, mint egy egy hacker banda.

egyébként a legtöbb bejelentkezős weboldal (=99%) login adatai megszerezhetők a céljuzer gépének hálózati forgalmának figyelésével.

Válasz erre

szilárdan... · http://www.flickr.com/photos/haazee 2008.10.14. 13:54:09

Epikurosz: mert sértené a versenytörvényt (haha...)

Anna, a műkörmös · http://mukormos.blog.hu 2008.10.14. 14:06:43

Gmailhez egy kis plusz biztonság:

Beállítások/Böngészőkapcsolat/Kötelező a https használata

Silly 2008.10.14. 14:23:19

szilárdan:

ha nem érted másold be ezt a linket a brózerodba:

mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgrefurl=%68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e%63%6f%6d/482f3

ha így sem, akkor ne is akard megérteni...

2008.10.14. 14:35:52

Silly: szerintem szilárdan pontosan értette a módszert csak nem akarta elhinni, hogy van olyan hülye aki mondjuk egy levélben küldött linkre kattintva lép be a gmailbe

szilárdan... · http://www.flickr.com/photos/haazee 2008.10.14. 15:46:20

Alec: 1:0 ;)

fraki 2008.10.14. 16:02:24

Legyen inkább 1:0,5, mert az url-ek ellenőrzését gyakran csak szemrevételezéssel nézzük, és ha látjuk, hogy a domain rendben van, akkor kattintunk.

Anna, a műkörmös · http://mukormos.blog.hu 2008.10.14. 16:16:03

Igen, ha a webcím eleje stimmel, megbízik benne az ember.